고 분석하여 악성 행동을 탐지하는 네트워크 기반 침입 탐지 시스템(IDS)입니다. 채굴 멀웨어는 특정 서버와 통신하기 때문에, 이 통신 패턴을 이용해 Snort 규칙을 만들 수 있습니다.
예를 들어, alert tcp any any -> any 80 (msg:\"Possible CryptoMiner\"; content:\"example.crypto.mining.server.com\"; sid:1000001; rev:1;)
다음과 같은 규칙을 적용할 수 있습니다. HTTP 트래픽을 통해 채굴 서버와의 통신을 탐지하고, reject 등을 통해 패킷을 차단할 수 있습니다.
작업관리자를 통한 프로세스 확인: 내 PC가 멀웨어에 의해 채굴 중인지 확인할 수 있는 방법으로, 작업관리자를 통해 프로세스 확인이 가능합니다.
< 작업관리자에서 확인되는 채굴 멀웨어 >
각 작업관리자를 확인하면 CPU와 메모리의 사용량이 매우 높은 것을 확인할 수 있습니다.
프로그램 설치 확인: 제어판의 프로그램 및 기능에서 채굴 멀웨어가 설치되어 있는지 확인할 수 있습니다.
< 제어판에서 확인되는 채굴 멀웨어 >
채굴 멀웨어는 사용자의 의심을 피하기 위해 정상적인 설치 과정을 진행하며, 일단 설치되면 프로그램이 자동 실행되면서 가상화폐 채굴활동이 시작됩니다. 이런 방식을 ‘크립토재킹(Cryptojacking)’이라고 합니다. 불법 채굴은 보안문제도 발생하지만, CPU의 능력을 모두 사용하므로 PC 기능에 무리를 주기 때문에 차단 활동이 필요합니다.
참고 문헌 : https://m.blog.naver.com/ezpbill/221186328900